Безопасность частного облака на основе технологий Microsoft

О чем будем говорить?

Основные проблемы безопасности частных облаков
Построение безопасного частного облака
Новинки ИБ

Что такое облака?

Более 400 облачных сервисов Microsoft

300M+ Users 76 markets and 48 languages

4

Как Microsoft видит частное облако

Управление

Характеристики:
Самообслуживание арендаторов
Оплата за потребляемые ресурсы
Автоматическое развертывание, управление и

Основные проблемы безопасности

Безопасность названа главнейшим препятствием на пути к применению облаков
Основные проблемы:
Изоляция

Безопасность ЦОД GFS Microsoft

Сертификация системы управления безопасностью ISO/IEC 27001:2005
Ежегодная аттестация SAS-70

Автоматическое развертывание вирт. машин
Раздельное администрирование для арендаторов инфраструктуры
Автоматическое развертывание юнитов масштабирования (кластерами

Логическая архитектура облака IaaS

Пограничные маршрутизаторы

Агрегирующие маршрутизаторы

Агрегирующие коммутаторы

Хосты / вирт. машины

Хранилище

Отказоустойчивость и Fault Domain

Пограничные маршрутизаторы

Агрегирующие маршрутизаторы

Агрегирующие коммутаторы

Хосты / вирт. машины

Хранилище

Отказоустойчивость и Fault Domain

Управляемая инфраструктура ключ к безопасности

Стек безопасности технологий Microsoft

Уязвимости ТОП 20 производителей ПО

Источник Secunia 2011 yearly report

Атаки на стек виртуализации

Родительский раздел

Вирт. машина

Ring 0: Kernel Mode

Оборудование

Клиентское приложение

Ядро ОС

Ring 3:

Каждая ВМ получает свой собственный ресурс ОЗУ, дисков, ЦПУ, сетей
Отдельный процесс обслуживания

Server core уменьшает поверхность атаки
~50% меньше обновлений и рестартов

Server core лучший выбор

Hyper-V Authorization Manager Единая система авторизации и идентификации

Ролевое управление группами хостов и ВМ
Привязка

Virtual Machine Manager Единая система авторизации и идентификации

Роли:
Administrator
Полный доступ ко всем хостам,

Изоляция сетевого траффика

Только базовые возможности виртуального коммутатора
Сегментация сети хоста и ВМ

Защита сети в Hyper-V

Новые возможности виртуального коммутатора Windows Server 2012
PVLAN
Защита от ARP/ND

Недоверенный

Неуправляемый ПК

Контроллер Active Directory

X

X

Доверенный сервер

Корпоративная сеть

Определить логические границы

Распространяем политики и данные аутентификации

Управляемые

Фильтрация сетевого трафика

Использовать Windows Firewall with Advanced Security (WFAS) на хосте и

Развертывание виртуальных машин одной кнопкой прекрасно….
Внедрение виртуализации без управления способно принести больше

Автоматизация управления, мониторинга и отчетности

Сложность управления инфраструктурой ухудшает безопасность
Ручные операции на множестве

Автоматизация управления, мониторинга и отчетности

ИТ задачи Процесс развертывания ВМ

Остановить устаревшую ВМ, освободить

Обновление хостов кластера Hyper-V с помощью System Center и Orchestrator

Соответствие Хостов, ВМ, приложений требованиям политики ИБ

Проверьте базовую конфигурацию рекомендуемую Microsoft для:

Библиотека рекомендаций Microsoft Security Compliance Manager

Windows Server 2008 R2 AD Certificate Services

RMS

BitLocker

Шифрование директорий с данными
Хранение ключей EFS на смарткарте

EFS

Защита данных и ОС
Безопасная передача

Панацея?

Все проблемы безопасности частного облака технически средствами не решить:
Единая система аутентификации и

Ресурсы

Microsoft Virtualization:
http://www.microsoft.com/virtualization
Microsoft Virtualization TechCenter
http://technet.microsoft.com/ru-ru/virtualization/default.aspx
Microsoft Hyper-V Security Guide
http://technet.microsoft.com/en-us/library/dd569113.aspx
Windows Virtualization Blog Site:
http://blogs.technet.com/virtualization/default.aspx
Windows

Ресурсы

Virtualization Hypervisors” evaluation criteria: http://www.burtongroup.com/Client/Research/Document.aspx?cid=1569
Security Best Practices for Hyper-V and Server